公司不能上QQ?!公司不能上MSN?!这是很多officer无奈而又不甘的事情,那么为什么公司不能上QQ?怎么才能在公司上QQ?不知道有多少人会来深究这个问题。
原理解析
从公司管理的角度讲,公司不能上QQ,是防止员工上班时间闲聊,浪费上班时间。从技术的角度讲,公司不能上QQ,是因为网管对公司的网络做了“手脚”,限制了员工登录QQ。
首先我们看一下QQ通常的几种登录方法:***种是使用TCP/UDP协议直接登录腾讯的服务器;第二种是使用HTTP代理来登录腾讯的服务器;第三种是使用socks代理来登录腾讯的服务器。
知道了qq的登录方法,让我们理顺一下,反其道而行之,就可以想出封杀QQ的方法。
思路一:利用上网行为管理软件或者硬件设备自带的封QQ功能,直接将QQ封掉。
思路二:只开放企业业务正常应用的必须的端口,其他端口全部关闭。如在一个企业中,可能需要浏览网页,那就开放TCP 80端口;可能需要收发邮件,那就开放TCP 25和110端口;可能需要使用网上银行的业务,那就开放 TCP 443端口。其他的端口全部关掉,这样可以***限度的避免开放过多端口导致封锁失败。
同时考虑到开放的端口中,QQ也会使用 TCP 80端口和TCP 443端口登录,那么就找到腾讯服务器的IP地址,并封之,则可以解决此问题。***在做策略的时候遵循一个“最小需求”的原则,即,需要什么服务,则设置到相应“目的IP地址”的相应“目标端口”。
如上班的时候,公司员工只需要浏览“网易”、“搜狐”、“新浪”和“本公司网站”,那么我们就设置只允许内部员工访问目标网站IP地址的80端口,其他IP地址的80端口全部关闭,那么这样就可以***限度的防止封锁失败。成功率 90%。
思路三:对于某些企业,由于其特殊的应用,可能需要网管不能使用“最小需求”的原则,那么这时候网管可以结合封QQ服务器IP地址+封使用代理服务器的方式来进行。成功率 80%。#p#
怎么限制QQ登录
那么网管是怎么限制QQ登录的,其实无外乎这几种方式。
一、封IP地址的方法
(1)如何找QQ服务器的IP地址呢?有个简单的方法,就是每次QQ登录后,在“系统设置”-“登录设置”界面中,有一项“当前登录服务器”,此处显示的是当前QQ用户登录的服务器的IP地址。网管可以将这些IP地址一一屏蔽掉。
二、封代理服务器
(1)如何限制内部QQ用户使用HTTP代理服务器呢。我们来看一下,如果内部用户使用http代理服务器登录QQ会有怎么样的交互过程:在使用HTTP代理登录的过程中,会在三次握手建立后,有一个使用http协议请求url地址的过程,请求的url地址为:tcpconn.tencent.com。那么根据这一点来,我们就可以使用url地址过滤+关键字过滤的方法来阻断这个请求。
(2)还有一部分人在网上寻找socks代理服务器,现在用的最多的两种socks版本是socks 4和socks5,socks4只支持TCP协议,而socks5支持TCP和UDP两种协议,socks代理协议默认使用的端口是1080端口,所以我们封掉1080端口。